Sicurezza dell'applicazione Web

Ok, beh ci sono tonnellate di materiale su Owasp quindi ti incoraggio vivamente a esplorare di più il loro sito. Forse uno dei loro capitoli è vicino a te, potresti partecipare a uno di loro mentre sono liberi.

Ecco alcuni thread interessanti di questo forum che contengono tonnellate di informazioni -

• Spiega XSS a un idiota

• Che cos'è un firewall per applicazioni Web - > ci sono link qui per ModSecurity , che ha molti buoni articoli e blog

• Materiali per principianti per la sicurezza web

• Voglio essere un consulente di sicurezza web

Prenderò in considerazione l'idea di installare cose come applicazioni web vulnerabili come Webgoat e DVWA per imparare da loro.

Ci sono un sacco di informazioni e cheatsheet eccellenti qui ma purtroppo RSnake non pubblica più.

Sans ha anche un blog appec qui .

Infine, e non per questo meno importante, darei un'occhiata lunga al materiale per lo sviluppo sicuro di @securityninja.

Questo dovrebbe essere sufficiente per iniziare.

La sicurezza delle app Web è un'area enorme. Esistono centinaia di possibilità e strumenti per hackerare un'applicazione web. Dato che sei uno sviluppatore, questa è la rapida classificazione di alto livello dei problemi.

• Difetti nella progettazione e nel funzionamento delle cornici web - Questa è la mia preferita, la maggior parte dei problemi relativi alle app Web che ho scoperto derivano da questo unico motivo, questi sono specifici dell'app Web. Ognuno di questi problemi può essere unico e applicabile solo a questa unica app. Solo uno scarso design di un'applicazione può causare problemi minori come questi che hanno conseguenze maggiori - perdita di dati, configurazioni e struttura web inadeguate, controllo degli accessi e responsabilità inadeguati - accesso non autorizzato / illimitato attraverso l'app web attraverso vari dati, divulgazione di informazioni di sistema per l'enumerazione , contenuto non protetto e accesso cross-domain al sistema, attività dell'utente e enumerazione del flusso di lavoro / processo, scarsa sicurezza sui servizi web - wsdl / soap, difetti nella sessione e amp; richiede la gestione, overflow dei parametri che causano l'esecuzione di DoS o codice remoto. Questi potrebbero sembrare articoli a basso rischio ma possono condurre da uno all'altro e possibilmente offrire un hack facile che non richiede alcuno sfruttamento intelligente.

• Iniezioni - I database back-end SQL, LDAP, ecc. richiedono query per leggere / scrivere dati e determinati parametri di queste query (anche un'intera query) possono contenere input malevoli diretti dell'utente. modo semplice per fermare questo è input validation . Ci sono molte risorse di studio su questo.

• Manomissione / modifica di parametri e richieste - XSS, CSRF, riutilizzo / hijack di sessione ecc. sono fondamentalmente utenti malintenzionati che forniscono un input inatteso. Validate every input, every thing per evitare facilmente questo.

• Problemi del server Web: si trova sul sistema che esegue l'app Web, eventuali miss-configuration e flussi nel processo del server Web possono causare un buffer overflow, DoS ecc.